SEC تایید 2 مرحله ای را فعال نکرده بود: تیم ایمنی X در پست جعلی ETF اسپات بیت کوین

تیم ایمنی رسمی X پس از تحقیقات اولیه می گوید که اعلامیه دروغین ETF بیت کوین SEC ناشی از یک حمله تعویض سیم کارت است.

تیم ایمنی در X (توئیتر سابق) فاش کرده است که کمیسیون بورس و اوراق بهادار ایالات متحده (SEC) احراز هویت دو عاملی (2FA) را در حساب اصلی X خود فعال نکرده است و به یک هکر اجازه دسترسی به آن را می دهد.

افشای شرم آور برای SEC به دنبال یک رخنه امنیتی است که امروز بازارهای ارزهای دیجیتال را با تأیید کاذب صندوق قابل معامله در بورس بیت کوین (ETF) از حساب رسمی SEC در پلتفرم رسانه اجتماعی لرزاند.

در پستی در 10 ژانویه، صفحه ایمنی X نوشت که هک SEC به این دلیل رخ داد که یک بازیگر ناشناس کنترل شماره تلفن مرتبط با حساب را به دست آورد و از آن برای دسترسی به صفحه رسمی X SEC استفاده کرد. این بیشتر به عنوان هک تعویض سیم کارت شناخته می شود.

تیم ایمنی X نوشت: «بر اساس تحقیقات ما، مصالحه به دلیل نقض سیستم‌های X نبود، بلکه به دلیل کنترل یک فرد ناشناس بر روی شماره تلفن مرتبط با حساب SECGov@ از طریق شخص ثالث بود.

ما همچنین می‌توانیم تأیید کنیم که در زمان در معرض خطر قرار گرفتن حساب، احراز هویت دو مرحله‌ای فعال نبود.»

هک تعویض سیم کارت نوعی سرقت هویت است که در آن مهاجم شماره تلفن قربانی را در اختیار می گیرد و به آنها امکان دسترسی به شبکه های اجتماعی، حساب های بانکی و رمزنگاری را می دهد.

در این مورد، هکر احتمالاً یک ارائه‌دهنده مخابراتی شخص ثالث را متقاعد کرده است که کنترل شماره تلفن مرتبط با حساب SEC را واگذار کند. اگر هکر آدرس ایمیل صحیح مورد استفاده برای ورود به حساب را نیز می دانست، می توانست از شماره تلفن برای بازنشانی رمز عبور حساب رسمی SEC و دسترسی به آن استفاده کند.

کارآگاه بلاک چین ZachXBT از این فرصت استفاده کرد و توصیه های قبلی خود رئیس SEC گری جنسلر در مورد امنیت رسانه های اجتماعی را در یک نظر طنزآمیز که در پاسخ به پست ایمنی X اصلی انجام شد، دوباره بسته بندی کرد.

سناتورهای ایالات متحده ونس و تام تیلیس در 9 ژانویه نامه ای به جنسلر نوشتند و آژانس را به دلیل عدم امنیت عملیاتی آن مورد سرزنش قرار دادند و خواستار توضیح در مورد این حادثه در چهار روز آینده شدند.

در این نامه آمده است: «این تحولات نگرانی‌های جدی را در مورد رویه‌های امنیت سایبری داخلی کمیسیون ایجاد می‌کند و در تضاد با مأموریت سه‌جانبه کمیسیون برای محافظت از سرمایه‌گذاران است».

نامه ونس و تیلیس به فهرست فزاینده ای از درخواست ها برای شفافیت در مورد این موضوع پیوست و چندین عضو کنگره نیز خواستار تحقیقات رسمی در مورد این حادثه شدند. بیل هگرتی، سناتور ایالات متحده ، SEC را در زمین خود فراخواند و گفت که اگر این اتفاق ناگوار توسط بازیگری در آن سوی حصار ایجاد شده بود، آژانس طبیعتاً خواستار تحقیق می شد.

همانطور که SEC در صورت مرتکب چنین اشتباه بزرگی در حرکت بازار از یک شرکت سهامی عام تقاضای پاسخگویی می کند، کنگره نیز به پاسخ هایی در مورد آنچه که اتفاق افتاده است نیاز دارد. این غیر قابل قبول است.”

سناتور آمریکایی سینتیا لومیس صدای خود را به این درگیری اضافه کرد و خواستار شفافیت در “اعلامیه های تقلبی” شد.

مالک X و مدیر عامل تسلا، ایلان ماسک نیز از این فرصت استفاده کرد و ادعای قبلی را که در CNBC مطرح شده بود مبنی بر اینکه هک SEC ناشی از نقض سیستم های داخلی خود X است، عقب نشینی کرد.

ماسک گفت: «رسانه‌های میراثی اینگونه هستند. پیش از این، او پیشنهاد کرد که رمز عبور SEC “LFGDogeToTheMoon” است.